

Zj_W1nd's BLOG

Zj_W1nd's BLOG

内核fuzzing--Syzkaller初探



内核fuzzing--Syzkaller初探

kernel fuzzing

 2025/03/24   Share

• 
• 
• 
• 
• 

环境配置

内核编译

内核需要开启的选项：

CONFIG_KCOV=y
CONFIG_DEBUG_INFO=y # 其他的debug信息可以自行选择
CONFIG_KASAN=y
CONFIG_KASAN_INLINE=y
# 不开下面的这俩qemu中systemd会报错挂不上文件系统
CONFIG_CONFIGFS_FS=y
CONFIG_SECURITYFS=y
# 内置cmdline解决没网卡/无法联网的问题，也可以在syz-manager的cfg文件里配置
CONFIG_CMDLINE_BOOL=y
CONFIG_CMDLINE="net.ifnames=0"

fuzz跑不动

连不上机器，查看日志说是fuzz执行syz-executor的时候segfault，gdb调了以下看了眼backtrace，pie的问题？这玩意不是静态编译的吗？遂上网搜索

[  451.736541] syz-executor[249]: segfault at 7f6b8b5df3f8 ip 00007f6b8bb6b090 sp 00007ffde599aaa0 error 4 in syz-executor[7f6b8b9e7000+1]
[  451.738294] Code: 08 66 0f d4 c1 4c 8b 51 08 66 49 0f 7e c0 4b 8d 0c 2a 4c 0f 45 d1 48 39 d8 73 3b 66 66 2e 0f 1f 84 00 00 00 00 00 0fb
Segmentation fault

──────────────────────────[ DISASM / x86-64 / set emulate on ]───────────────────────────
 ► 0x7ffff71cc090 <_dl_relocate_static_pie+1040>    mov    rcx, qword ptr [rax]         <Cannot dereference [0x7ffff6c403f8]>
   0x7ffff71cc093 <_dl_relocate_static_pie+1043>    mov    edx, dword ptr [rax + 8]
   0x7ffff71cc096 <_dl_relocate_static_pie+1046>    add    rcx, r13
   0x7ffff71cc099 <_dl_relocate_static_pie+1049>    cmp    rdx, 0x26
   0x7ffff71cc09d <_dl_relocate_static_pie+1053>    je     _dl_relocate_static_pie+1065 <_dl_relocate_static_pie+1065>
 
   0x7ffff71cc09f <_dl_relocate_static_pie+1055>    cmp    rdx, 8
   0x7ffff71cc0a3 <_dl_relocate_static_pie+1059>    jne    _dl_relocate_static_pie.cold+62 <_dl_relocate_static_pie.cold+62>
 
   0x7ffff71cc0a9 <_dl_relocate_static_pie+1065>    mov    rdx, qword ptr [rax + 0x10]
   0x7ffff71cc0ad <_dl_relocate_static_pie+1069>    add    rax, 0x18
   0x7ffff71cc0b1 <_dl_relocate_static_pie+1073>    add    rdx, r13
   0x7ffff71cc0b4 <_dl_relocate_static_pie+1076>    mov    qword ptr [rcx], rdx
────────────────────────────────────────[ STACK ]────────────────────────────────────────
00:0000│ rsp 0x7fffffffde30 ◂— 0x40 /* '@' */
01:0008│-0a8 0x7fffffffde38 ◂— 0xa /* '\n' */
02:0010│-0a0 0x7fffffffde40 ◂— 0xffffffffffffffff
03:0018│-098 0x7fffffffde48 ◂— 0x100
04:0020│-090 0x7fffffffde50 ◂— 0x800
05:0028│-088 0x7fffffffde58 ◂— 0x1940000
06:0030│-080 0x7fffffffde60 —▸ 0x7fffffffdeb0 ◂— 0
07:0038│-078 0x7fffffffde68 —▸ 0x7fffffffde98 ◂— 0
──────────────────────────────────────[ BACKTRACE ]──────────────────────────────────────
 ► 0   0x7ffff71cc090 _dl_relocate_static_pie+1040
   1   0x7ffff7146cb6 __libc_start_main_impl+102
   2   0x7ffff7050885 _start+37

结果还真让我搜到了：
https://sourceware.org/bugzilla/show_bug.cgi?id=32761

https://www.mail-archive.com/bug-binutils@gnu.org/msg49517.html

glibc2.41的问题，那就用我们经典的解决方案，换到docker里挂载之后重新编译syzkaller就能解决。

用法

用cfg文件指定我们的目标，启动syzkaller之后用web前端观察结果。

可以fuzz驱动

• Next Post
  漏洞挖掘入门（持续更新）
• Previous Post
  基于qemu和ubuntu-base的kdump分析环境

Powered by Hexotheme Archer

readers

CATALOG

1. 1. 环境配置
   1. 1.1. 内核编译
   2. 1.2. fuzz跑不动
2. 2. 用法

• Archive
• Tag
• Cate

Total : 66

2025

• 03/28 漏洞挖掘入门（持续更新）
• 03/24 内核fuzzing--Syzkaller初探
• 03/21 基于qemu和ubuntu-base的kdump分析环境
• 03/17 2025ciscnccb复盘小记
• 03/12 常见的加密编码算法逆向识别
• 03/11 简短的IO函数特性整理——受scanf启发
• 03/10 2023ciscn决赛awdp复现思路
• 02/25 Awdp-PWN准备技巧
• 02/24 Arch安装备忘手册
• 02/24 linux杂谈（持续更新）
• 02/20 IDA-Better_printk推广
• 02/20 ciscn_ccb2025初赛-avm重做wp

2024

• 12/17 前端小实践之修复github列表渲染错误
• 12/13 How2Heap总集篇导演剪辑剧场版
• 12/12 How2Heap-rust——qwb2024_chat-with-me
• 11/10 CHOP——强网杯2024expect_number wp
• 11/10 How2Heap实战——强网杯2024babyheap
• 11/10 How2Heap实战——网鼎杯database wp
• 10/30 页表之上——Linux内核的内存管理
• 10/28 Algorithm(0)
• 10/18 记录一次护网行动
• 10/14 Android逆向入门之2015-AliCrackme
• 10/11 Kernel Pwn从入门到入土-2
• 10/08 CVE-2024-26229青春版_WindowsKernelPWN
• 10/06 现代内核安全机制——以Windows 11的kernel pwn为例
• 09/25 ByteCTF2024——ezheap
• 09/24 Algorithm(1)
• 09/24 Algorithm(2)
• 09/19 STL容器逆向——逆向工程实验STLWP
• 09/19 Windows函数隐藏——逆向工程实验2022WP
• 09/16 WMCTF2023evm非预期
• 09/11 Windows下的简单逆向分析入门——从PE开始
• 09/10 LLVM-Pass分析简单入门——暨2024WMCTF-babysignin WP
• 09/05 How2Heap&Protobuf实战——CISCN2024EzBuf
• 09/03 GO,rust等其他语言的逆向
• 09/03 虚拟机初探
• 08/30 How2Heap实战(2)——CISCN2024EzHeap
• 08/05 Sandbox 简单介绍
• 07/31 Kernel Pwn从入门到入土-0
• 07/31 Kernel Pwn从入门到入土-1
• 07/28 How2Heap(8)——Tcache
• 07/26 How2Heap(7)——Large Bin Attack
• 07/18 How2Heap实战(1)——CISCN2024orange_cat_diary
• 07/11 CSAPP Labs——Malloc Lab
• 07/04 CSAPP Labs——Attack Lab
• 06/06 CSAPP Labs——Bomb Lab
• 06/05 CSAPP Labs——Data Lab
• 05/13 电脑问题解决方案整理
• 04/17 How2Heap(6)——House of Roman & House of Rabbit
• 04/06 分享会
• 03/23 栈溢出ROP熟练度提升总结
• 02/05 Rust？Rust！(3)——自用整合终极版
• 01/25 How2Heap(5)——Unsorted bin attack & House of Lore
• 01/23 青训营记录整合包
• 01/22 IO_FILE——File Stream Oriented Programming (1)

2023

• 12/30 How2Heap(4)——House of Orange & House of Einhejar
• 12/27 ubuntu16.04 docker环境踩坑
• 12/26 Rust？Rust！(2)
• 12/17 How2Heap(3)—House of Force & House of Gods.
• 12/14 Rust？Rust！(1)
• 12/03 How2Heap(2)-Overlapping
• 11/25 逆向杂谈（持续更新）
• 11/09 How2Heap(1)-fastbin（完整版）
• 11/06 对跳表机制及其静态逆向的一些想法
• 10/26 pwntools的shellcode逻辑详解
• 10/26 my_first_blog

 awdp  pwn  wp  算法  linux  Android  逆向  awd  php  chop  heap  CSAPP  Lab  Develop  go  rust  basic  Windows  CVE  protobuf  FSOP  kernel  llvm  Rust  vm  shellcode  sandbox  Others  前端  IDA  编译  ROP  web  hvv  kdump  fuzz  fuzzing



缺失模块，请参考主题文档进行安装配置：https://github.com/fi3ework/hexo-theme-archer#%E5%AE%89%E8%A3%85%E4%B8%BB%E9%A2%98

 pwn  linux  CSAPP  Reverse  Develop  pwn  others  Web  kernel  Exploits  Exploit

